অ্যাপল বুধবার তার অপারেটিং সিস্টেম জুড়ে জরুরি নিরাপত্তা প্যাচ স্থাপন করেছে, সক্রিয় শোষণের অধীনে নিশ্চিত হওয়া কিছু শূন্য-দিনের দুর্বলতা ঠিক করার জন্য লড়াই করছে। কোম্পানি স্বীকার করেছে যে মূল অডিও প্রক্রিয়াকরণ এবং একটি নির্দিষ্ট প্রসেসরের নিরাপত্তা বৈশিষ্ট্যকে প্রভাবিত করে এমন ত্রুটিগুলি লক্ষ্যবস্তু প্রচারণায় অস্ত্র হিসেবে ব্যবহার করা হয়েছিল।
তাদের পরামর্শে, অ্যাপল উল্লেখ করেছে যে তারা রিপোর্ট সম্পর্কে সচেতন ছিল যে “এই সমস্যাটি iOS-এ নির্দিষ্ট লক্ষ্যবস্তু ব্যক্তিদের বিরুদ্ধে একটি অত্যন্ত পরিশীলিত আক্রমণে ব্যবহার করা হতে পারে।” গুরুত্বপূর্ণ আপডেটগুলি কেবল iOS এবং iPadOS নয়, বরং macOS, tvOS এবং visionOS-কেও লক্ষ্য করে, যা অন্তর্নিহিত সমস্যাগুলির ব্যাপক প্রকৃতির ইঙ্গিত দেয়।
অডিও ত্রুটি কোড কার্যকর করার অনুমতি দেয়
একটি দুর্বলতা, যা CVE-2025-31200, অ্যাপলের CoreAudio ফ্রেমওয়ার্কের মাধ্যমে একটি গুরুতর ঝুঁকি তৈরি করে। এই মেমরি দুর্নীতির ত্রুটির অর্থ হল আক্রমণকারীরা সম্ভাব্যভাবে একটি ডিভাইসে ইচ্ছামত কোড চালাতে পারে যদি কোনও ব্যবহারকারী কেবল একটি সাবধানে তৈরি, ক্ষতিকারক অডিও ফাইল প্রক্রিয়া করে। এই ধরণের শোষণ ডেটা চুরি বা বৃহত্তর সিস্টেমের আপস হতে পারে।
সম্ভাব্য তীব্রতা প্রতিফলিত করে, CISA-ADP ত্রুটিটিকে CVSS 3.1 স্কোর 7.5 (উচ্চ) নির্ধারণ করেছে, গোপনীয়তা, অখণ্ডতা এবং প্রাপ্যতার উপর উচ্চ সম্ভাব্য প্রভাবের কথা উল্লেখ করে, যদিও এর ভেক্টরটির ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজন এবং উচ্চ জটিলতা রয়েছে। অ্যাপল জানিয়েছে যে “উন্নত সীমানা পরীক্ষা” এর মাধ্যমে এই দুর্বলতা মোকাবেলা করা হয়েছে এবং এর আবিষ্কারের জন্য অভ্যন্তরীণ দল এবং গুগলের থ্রেট অ্যানালাইসিস গ্রুপ (TAG) উভয়কেই কৃতিত্ব দেওয়া হয়েছে।
প্রসেসর নিরাপত্তা বৈশিষ্ট্য বাইপাস করা হয়েছে
দ্বিতীয় সংখ্যা, CVE-2025-31201, নতুন অ্যাপল সিলিকন চিপগুলিতে পাওয়া রিকনফিগারেবল প্রসেসিং আর্কিটেকচার কোর (RPAC) কে লক্ষ্য করে। এই দুর্বলতা আক্রমণকারীদের যারা ইতিমধ্যেই ডিভাইসে পঠন/লেখার অ্যাক্সেস পেয়েছে তারা পয়েন্টার অথেনটিকেশন (PAC) এড়িয়ে যেতে সক্ষম করে।
PAC হল একটি হার্ডওয়্যার-স্তরের নিরাপত্তা বৈশিষ্ট্যএআরএম আর্কিটেকচারে যা ক্রিপ্টোগ্রাফিকভাবে পয়েন্টার সাইন করার জন্য ডিজাইন করা হয়েছে, যা আক্রমণকারীদের জন্য রিটার্ন-ওরিয়েন্টেড প্রোগ্রামিং (ROP) এর মতো কৌশলগুলির মাধ্যমে প্রোগ্রাম নিয়ন্ত্রণ প্রবাহ হাইজ্যাক করা কঠিন করে তোলে। PAC সফলভাবে বাইপাস করলে বিশেষাধিকার বৃদ্ধির মতো গভীরতর সিস্টেম আক্রমণ সক্ষম হতে পারে। অ্যাপল, যা অভ্যন্তরীণভাবে এই ত্রুটিটি আবিষ্কার করেছিল, বলেছে যে “ভাল কোডটি সরিয়ে” এটি ঠিক করা হয়েছে।
আইফোন, আইপ্যাড, ম্যাক, অ্যাপল টিভি এবং ভিশন প্রো-তে আপডেট
যদিও iOS ডিভাইসের বিরুদ্ধে সক্রিয় আক্রমণের খবর পাওয়া গেছে, প্যাচগুলি একটি বিস্তৃত প্রভাব নিশ্চিত করে। iOS 18.4.1, iPadOS 18.4.1, macOS Sequoia 15.4.1, tvOS 18.4.1, এবং visionOS 2.4.1এ এই সংশোধনগুলি অন্তর্ভুক্ত করা হয়েছে।
আপডেট প্রাপ্ত হার্ডওয়্যারগুলির মধ্যে রয়েছে iPhone XS এবং নতুন মডেল; বিভিন্ন iPad Pros (১১-ইঞ্চি প্রথম জেনারেশন+, ১২.৯-ইঞ্চি তৃতীয় জেনারেশন+, ১৩-ইঞ্চি), iPad Airs (তৃতীয় জেনারেশন+), স্ট্যান্ডার্ড iPads (৭ম জেনারেশন+), এবং iPad minis (৫ম জেনারেশন+); অ্যাপল টিভি এইচডি সহ, সমস্ত অ্যাপল টিভি 4K মডেল এবং অ্যাপল ভিশন প্রো। সক্রিয় শোষণের নিশ্চিতকরণের প্রেক্ষিতে, ব্যবহারকারীদের দ্রুত এই আপডেটগুলি প্রয়োগ করার পরামর্শ দেওয়া হচ্ছে।
ক্রমবর্ধমান অ্যাপল হুমকির মধ্যে শূন্য-দিন বৃদ্ধি
এই দুটি ত্রুটি চতুর্থ এবং পঞ্চম শূন্য-দিনের দুর্বলতাগুলিকে চিহ্নিত করে যা অ্যাপল ২০২৫ সালে প্রকাশ্যে প্যাচ করেছে, যার ফলে কোম্পানিটি ২০২৪ সালের মোট ছয়টি (যার মধ্যে অপারেশন ট্রায়াঙ্গুলেশন স্পাইং ক্যাম্পেইনএ ব্যবহৃত ত্রুটিগুলি অন্তর্ভুক্ত ছিল) বছরের প্রথম কয়েক মাসেই অতিক্রম করার সম্ভাবনা বাড়িয়েছে।
পূর্বে প্যাচ করা ২০২৫ শূন্য-দিন ছিল CVE-2025-24085 (জানুয়ারী), CVE-2025-24200 (ফেব্রুয়ারী), এবং CVE-2025-24201 (মার্চ)। এই বৃদ্ধি ঘটে যখন নিরাপত্তা গবেষকরা এবং রিপোর্ট করেছেন, যেমন মার্চ মাসে ম্যাক ব্যবহারকারীদের লক্ষ্য করে ফিশিং প্রচারণাসংক্রান্ত, অ্যাপলের ইকোসিস্টেমের প্রতি আক্রমণকারীদের আগ্রহ বৃদ্ধির ইঙ্গিত দেয়, যা উইন্ডোজের তুলনায় কম ঘন ঘন লক্ষ্যবস্তু হিসেবে এর অতীত খ্যাতিকে চ্যালেঞ্জ করে। যদিও বর্তমান আক্রমণগুলিকে অত্যন্ত লক্ষ্যবস্তু হিসাবে বর্ণনা করা হয়েছে, প্যাচগুলির প্রাপ্যতার জন্য প্রভাবিত ডিভাইস সহ সমস্ত ব্যবহারকারীর পদক্ষেপ নেওয়া প্রয়োজন।
সূত্র: Winbuzzer / Digpu NewsTex